2026-0305: FreeBSD, OpenSSL: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2026-01-29 15:21): Neues Advisory
Version 2 (2026-01-30 07:46): Für Oracle Linux in Version 9 (x86_64, aarch64) stehen Sicherheitsupdates für 'openssl' bereit, um zwölf Schwachstellen zu beheben.
Version 3 (2026-02-02 07:16): Für Oracle Linux in Version 9 (aarch64), 10 (x86_64, aarch64) stehen Sicherheitsupdates für 'openssl' bereit, um die zwölf Schwachstellen zu beheben.
Version 4 (2026-02-04 07:50): Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'openssl-3' bereit, um die zwölf Schwachstellen zu beheben.
Version 5 (2026-02-05 07:33): Für SUSE Linux Micro 6.2 steht ein Sicherheitsupdate für 'openssl-3' bereit, um die zwölf Schwachstellen zu beheben.
Version 6 (2026-02-06 10:08): Für die SUSE Linux Enterprise Produkte Server 16.0 und Server for SAP Applications 16.0 stehen Sicherheitsupdates für 'openssl-3' bereit, um die zwölf Schwachstellen zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die Schwachstellen werden für die jeweiligen Versionszweige von OpenSSL mit den Versionen 3.6.1, 3.5.5, 3.4.4, 3.3.6 und 3.0.19 behoben. Auf den Versionszweigen 1.1.1 und 1.0.2 (nur mit Premium Support) werden die Schwachstellen mit den Versionen 1.1.1ze und 1.0.2zn behoben. Von den Schwachstellen sind jeweils unterschiedliche Versionszweige betroffen.

Das FreeBSD-Projekt stellt zur Behebung der Schwachstellen im Modul 'openssl' Sicherheitsupdates für die stabilen Versionen 15.0-STABLE, 14.3-STABLE und 13.4-STABLE sowie die korrigierten Versionen 15.0-RELEASE-p2, 14.3-RELEASE-p8 und 13.5-RELEASE-p9 bereit.

Für Fedora 43 steht das Paket 'openssl-3.5.4-2' im Status 'testing' bereit, um zwölf Schwachstellen zu beheben.

Für Debian 12 Bookworm (oldstable) steht Version 3.0.18-1~deb12u2 und für Debian 13 Trixie (stable) steht Version 3.5.4-1~deb13u2 von 'openssl' bereit, um die zwölf Schwachstellen zu beheben.

Für Ubuntu 22.04 LTS, 24.04 LTS und 25.10 stehen Sicherheitsupdates für 'openssl' bereit, um die zwölf Schwachstellen zu beheben.

Für Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS und 20.04 LTS stehen Sicherheitsupdates für 'openssl1.0' und 'openssl' bereit, um sieben Schwachstellen zu beheben.

Für Red Hat Enterprise Linux for x86_64 / ARM 64 in Version 9 und 10 (x86_64, aarch64) stehen Sicherheitsupdates für 'openssl' bereit, um die zwölf Schwachstellen zu beheben.

Für Oracle Linux in Version 9 und 10 (x86_64, aarch64) stehen zu RHSA-2026:1472 bzw. RHSA-2026:1473 korrespondierende Sicherheitsupdates für 'openssl' bereit, um die zwölf Schwachstellen zu beheben.

Schwachstellen:

CVE-2025-11187

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff